#Hacking dispositivos iOS

[iPhone/iPod Touch/ iPad]

Autor: Japson

ndice
Disclaimer...3 Introduccin...3 Cambiando el password por defecto.3 Crackeando el password de OpenSSH.4 Escenario..4 Deteccin de dispositivos iOS en la red...5 Rutas interesantes5 Despedida.9

DISCLAIMER Este paper est escrito nicamente con fines educativos y en ningn caso se fomenta el ataque a terceras personas ya que lo nico que se pretrende es concienciar de que podemos sufrir un ataque en nuestro dispositivo iOS sin enterarnos si no tomamos las medidas de proteccin necesarias. Adems, yo, Japson, el autor, no me hago responsable del mal uso que se le puedan dar a los conocimientos adquiridos.

INTRODUCCIN Hoy en da los telfonos mviles almacenan muchsima informacin nuestra, cuentas de correo, redes sociales, historial de internet Ha habido casos muy sonados de famosos a los que les han robado fotos ntimas de sus smartphones y las han subido a Internet sin que las vctimas se dieran cuenta de nada. Hay ms mtodos, pero lo que vas a encontrar aqu podra ser perfectamente una tcnica vlida para llevar a cabo eso. En este paper simplemente quiero demostrar lo peligroso que es estar conectado a una red Wifi con un dispositivo iOS con OpenSSH activado. Para llevar a cabo este ataque necesitamos dos cosas en el dispositivo vctima: 1- Que tenga jailbreak 2- Que tenga instalado OpenSSH, la mayora de la gente que ha realizado jailbreak lo tiene instalado por comodidad. El gran problema: OpenSSH sin configurar Mucha gente, sobre todo gente no muy familiarizada con el mundo de la seguridad informtica, se olvida de algo muy, muy importante que es cambiar la contrasea por defecto (es lo ms bsico, aunque hacer slo eso no te garantiza ser inmune a un ataque, al final dejo un link interesante sobre como fortificar OpenSSH), con lo cual deja su dispositivo abierto a cualquier posible atacante. Datos por defectos de OpenSSH: Usuario: root Password: alpine A esto hay que sumarle que por defecto OpenSSH se queda activado cuando se activa el Wifi. Mucha gente lo instala y se le olvida que lo tiene ah. Eso es muy peligroso y va a ser la base de nuestro ataque. Ya os podeis imaginar todo lo que podemos hacer entrando a un dispositivo iOS con privilegios de super-usuario jeje 3

CAMBIANDO EL PASSWORD POR DEFECTO Antes de nada, por si algn lector cumple las caractersticas descritas antes y no ha cambiado la contrasea por defecto aqu voy a contar como se hace, es muy simple, se hace igual que en cualquier sistema UNIX. Podemos hacerlo desde nuestro ordenador conectndonos con PuTTy por ejemplo o desde el mismo dispositivo con la aplicacin MobileTerminal: su Password: alpine passwd root Ahora te pide la nueva contrasea, escribe la que quieras. Por ltimo desconctate con logout Creo que no hace falta que diga que la nueva contrasea que escribas sea segura, combinando nmeros y caracteres.

CRACKEANDO PASSWORD OPENSSH Seguro que muchos os preguntareis, y si ha cambiado la contrasea por defecto? Si la contrasea ha sido cambiada an no est todo perdido, podemos intentar sacarla mediante un ataque por fuerza bruta o por diccionario. Si no se ha configurado correctamente OpenSSH (cosa que slo hacen una minora muy reducida de usuarios, seguramente por desconocimiento o simplemente por no complicarse la vida), es posible sacar las contraseas por fuerza bruta ya que por defecto OpenSSH tiene comentada la directiva #MaxAuthTries 6 (/etc/ssh/sshd_config) lo que nos viene a decir que un ataque por fuerza bruta es viable porque el nmero de intentos de login no est limitado. Para ello podemos usar aplicaciones como Hydra aunque si la contrasea es robusta ser muy difcil de sacar.

ESCENARIO Esta demostracin de ataque est realizada con un iPod Touch 4g versin 4.2.1 con jailbreak y OpenSSH conectado a la misma red Wifi en la que estoy yo. Aunque esto haya sido hecho sobre un iPod, tambin funcionara igual si fuese un iPhone o iPad ya que funcionan tambin con iOS. Vamos a ello ;)

DETECTANDO DISPOSITIVOS iOS EN LA RED Para ello no hay ms que realizar un barrido a la red con vuestro sniffer favorito, yo en este caso voy a utilizar Cain:

Como se ve en la imagen sabemos que 192.168.1.35 es de Apple y podra ser un posible objetivo (podra ser un MAC tambin, de echo nmap lo muestra como un Mac OS X 10.5, pero no se me ha ocurrido ninguna otra forma clara de verificar que sea iOS). Tambin podramos realizar un ataque man in the middle como si de cualquier otro equipo se tratase. Ahora compruebo rpidamente si tiene el puerto 22 abierto:

Ah lo tenemos, sobre el puerto 22 est corriendo OpenSSH. Si no nos detectase nada en este puerto podramos realizar un barrido ms profundo de los puertos con nmap porque el puerto por defecto podra haber sido cambiado como medida de seguridad, precisamente para intentar evitar a gente como nosotros ;) o directamente puede que no tenga OpenSSH.

RUTAS INTERESANTES Ahora comienza la parte divertida, vamos a comenzar a sacar datos y archivos interesantes del terminal. Para ello no tenemos ms que conectarnos al puerto 22 (por defecto) con el usuario root y la contrasea alpine (por defecto) o con la contrasea que hayis sacado si es que habis tenido que realizar un ataque por fuerza bruta, con el cliente que os guste ms. En mi caso he utilizado Filezilla. Fotos y videos Desde la siguiente ruta podemos ver todas las fotos y vdeos almacenados en el dispositivo. /private/var/mobile/Media/DCIM/100APPLE

Keylogger Algo muy interesante, iOS almacena en texto plano una especie de registro con las palabras usadas: /private/var/mobile/Library/Keyboard/es_ES-dynamic-text.dat

Navegador Web (Safari) /private/var/mobile/Library/Safari: En el archive History.plist podemos ver todo el historial del navegador.

APPs: El famoso WhatsApp Mucho ha dado que hablar ltimamente WhatsApp sobre el tema de seguridad y es que WhatsApp almacena la informacin en iOS en una base de datos SQLite que se encuentra en la siguiente ruta con lo que cualquiera podra ver con quin hemos chateado, lo que hemos escrito etc. Para abrir la base de datos he utilizado SQLite Manager /private/var/mobile/Applications/(cadena que vara)/Documents/ChatStorage.sqlite

Si seguimos mirando ms tablas podemos ver todo: contactos, nmeros de telfono, mensajes enviados y recibidos, las fechas.

Twitter En el siguiente archivo podemos obtener datos datos como nombre de usuario en twitter, ltimas bsquedas y tweets /private/var/mobile/Applications/(ruta que vara)/Library/Preferences\com.atebits.Tweetie2.plist

Tuenti Sin duda me ha sorprendido muchsimo encontrar esta base de datos con informacin de los amigos de la vctima en Tuenti como nombre, apellidos, foto de perfil y en algunos casos hasta el nmero de su mvil. /private/var/mobile/Applications/(ruta que vara)/Documents/SessionStorage.sqlite

Fijaos en la ruta de los avatares o fotos de perfil, son del estilo a esto: http://llimg2.tuenti.net/cadena Ni siquiera hace falta estar logueado en Tuenti para poder ver las fotos! ;)

Y muchas ms rutas Esto es solo un pequeo ejemplo de algunas cosas que podemos ver. Por supuesto hay muchas ms rutas y si las mirsemos todas estaramos aqu un buen rato as que aqu os dejo algunas ms para que las investiguis vosotos mismos:

SMS (iPhone) -> /private/var/mobile/Library/SMS sms.db Localizaciones-> /private/var/root/Library/Caches/locationd/consolidate.db Mails -> /private/var/mobile/Library/Mail Preferencias de aplicaciones-> /private/var/mobile/Library/Preferences Informacin de los contactos-> /private/var/mobile/Library/AddressBook

DESPEDIDA Espero que os haya gustado el paper y sobre todo que os haya sido til para conocer lo vulnerables que somos a un posible ataque si no tomamos las medidas de proteccin adecuadas. Aqu os dejo un enlace de la gente de seguridad apple de cmo configurar correctamente OpenSSH para evitar lo visto anteriormente: http://www.seguridadapple.com/2010/08/configuracion-openssh-en-dispositivos.html

Un saludo,

JAPS0N

http://creativecommons.org/licenses/by/3.0/es/deed.es